As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso no AWS Transit Gateway
AWS usa credenciais de segurança para identificá-lo e conceder acesso aos seus AWS recursos. Você pode usar os recursos do AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicativos usem seus AWS recursos de forma total ou limitada, sem compartilhar suas credenciais de segurança.
Por padrão, os usuários do IAM não têm permissão para criar, visualizar ou modificar AWS recursos. Para permitir que um usuário acesse recursos (como um gateway de trânsito) para executar tarefas, é necessário criar uma política do IAM que conceda permissão ao usuário para usar os recursos e as ações de API específicos de que precisa e, sem seguida, anexar a política ao grupo ao qual esse usuário pertence. Ao anexar uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos atributos especificados.
Para trabalhar com um gateway de trânsito, uma das seguintes políticas AWS gerenciadas pode atender às suas necessidades:
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## Exemplos de políticas para gerenciar gateways de trânsito
Veja a seguir exemplos de políticas do IAM para trabalhar com gateways de trânsito.
**Criar um gateway de trânsito com tags obrigatórias**
O exemplo a seguir permite que os usuários criem gateways de trânsito. A chave de condição `aws:RequestTag` exige que os usuários marquem o gateway de trânsito com a tag `stack=prod`. A chave de condição `aws:TagKeys` usa o modificador `ForAllValues` para indicar que somente a chave `stack` é permitida na solicitação (nenhuma outra tag pode ser especificada). Se os usuários não passarem essa tag específica quando criarem o gateway de trânsito, ou se não especificarem tags, a solicitação falhará.
A segunda declaração usa a chave de condição `ec2:CreateAction` para permitir que os usuários criem tags somente no contexto de `CreateTransitGateway`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedTGWs",
"Effect": "Allow",
"Action": "ec2:CreateTransitGateway",
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/stack": "prod"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"stack"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateTransitGateway"
}
}
}
]
}
```
------
**Trabalhar com tabelas de rotas do gateway de trânsito**
O exemplo a seguir permite que os usuários criem e excluam tabelas de rotas do gateway de trânsito somente para um gateway de trânsito específico (`tgw-11223344556677889`). Os usuários também podem criar e substituir rotas em qualquer tabela de rotas do gateway de trânsito, mas somente para anexos que tenham a tag `network=new-york-office`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGatewayRouteTable",
"ec2:CreateTransitGatewayRouteTable"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11223344556677889",
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/network": "new-york-office"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*"
}
]
}
```
------
# Use funções vinculadas a serviços para gateways de trânsito no Transit Gateway AWS
A Amazon VPC usa funções vinculadas a serviço para as permissões de que ela precisa para chamar outros serviços da AWS em seu nome. Para obter mais informações, consulte [Perfis vinculados ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) no *Guia do usuário do IAM*.
## Função vinculada ao serviço do gateway de trânsito
A Amazon VPC usa funções vinculadas a serviços para as permissões necessárias para chamar os outros serviços da AWS em seu nome ao trabalhar com um gateway de trânsito.
### Permissões concedidas pela função vinculada ao serviço
A Amazon VPC usa a função vinculada ao serviço chamada **AWSServiceRoleForVPCTransitGateway** para chamar as seguintes ações em seu nome quando você trabalha com um gateway de trânsito:
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:ModifyNetworkInterfaceAttribute`
+ `ec2:DeleteNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnAssignIpv6Addresses`
A função **AWSServiceRoleForVPCTransitGateway** confia nos seguintes serviços para assumir a função:
+ `transitgateway.amazonaws.com`
AWSServiceRoleForVPCTransitO **Gateway** usa a política gerenciada[AWSVPCTransitGatewayServiceRolePolicy](security-iam-awsmanpol.md#AWSVPCTransitGatewayServiceRolePolicy).
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
### Criar a função vinculada ao serviço
Você não precisa criar manualmente a função **AWSServiceRoleForVPCTransitGateway**. A Amazon VPC cria essa função quando você anexa uma VPC a um gateway de trânsito na sua conta.
### Editar a função vinculada ao serviço
Você pode editar a descrição do **AWSServiceRoleForVPCTransitGateway** usando o IAM. Para obter mais informações, consulte [Editar uma descrição de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) no *Guia do usuário do IAM*.
### Excluir a função vinculada ao serviço
Se você não precisar mais usar gateways de trânsito, recomendamos que você exclua o **AWSServiceRoleForVPCTransitGateway**.
Você pode excluir essa função vinculada ao serviço somente depois de excluir todos os anexos VPC do Transit Gateway em sua conta. AWS Isso garante que a permissão para acessar os anexos da VPC não seja removida por engano.
É possível usar o console, a CLI ou a API do IAM para excluir perfis vinculados ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.
Depois de excluir o **AWSServiceRoleForVPCTransitGateway**, a Amazon VPC cria a função novamente se você anexar uma VPC em sua conta a um gateway de trânsito.
# AWS políticas gerenciadas para gateways de trânsito no AWS Transit Gateway
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
Para trabalhar com um gateway de trânsito, uma das seguintes políticas AWS gerenciadas pode atender às suas necessidades:
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## AWS política gerenciada: AWSVPCTransit GatewayServiceRolePolicy
Essa política está anexada à função [AWSServiceRoleForVPCTransitGateway](service-linked-roles.md). Isso permite que o Amazon VPC crie e gerencie recursos para os anexos de gateway de trânsito.
Para visualizar as permissões para esta política, consulte [AWSVPCTransitGatewayServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCTransitGatewayServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS *.
## Atualizações do Transit Gateway para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para gateways de trânsito desde que a Amazon VPC começou a monitorar essas mudanças em março de 2021.
| Alteração | Descrição | Data |
| --- | --- | --- |
| A Amazon VPC passou a monitorar alterações | A Amazon VPC começou a monitorar as alterações em suas políticas AWS gerenciadas. | 1.º de março de 2021 |
# Rede ACLs para gateways de trânsito no AWS Transit Gateway
Uma lista de controle de acesso à rede (NACL) é uma camada opcional de segurança.
As regras de lista de controle de acesso à rede (NACL) são aplicadas de forma diferente, dependendo do cenário:
+ [Mesma sub-rede para instâncias do EC2 e a associação do gateway de trânsito](#nacl-tgw-same-subnet)
+ [Sub-redes diferentes para instâncias do EC2 e a associação do gateway de trânsito](#nacl-tgw-different-subnet)
## Mesma sub-rede para instâncias do EC2 e a associação do gateway de trânsito
Considere uma configuração em que você tenha uma instâncias do EC2 e uma associação do gateway de trânsito que tenha a mesma sub-rede. A mesma ACL de rede é usada para o tráfego das instâncias do EC2 para o gateway de trânsito e o tráfego do gateway de trânsito para as instâncias.
As regras de NACL são aplicadas da seguinte maneira para o tráfego das instâncias para o gateway de trânsito:
+ As regras de saída usam o endereço IP de destino para avaliação.
+ As regras de entrada usam o endereço IP de origem para avaliação.
As regras de NACL são aplicadas da seguinte maneira para o tráfego do gateway de trânsito para as instâncias:
+ As regras de saída não são avaliadas.
+ As regras de entrada não são avaliadas.
## Sub-redes diferentes para instâncias do EC2 e a associação do gateway de trânsito
Considere uma configuração em que você tem instâncias do EC2 em uma sub-rede e uma associação de gateway de trânsito em uma sub-rede diferente, e cada sub-rede está associada a uma ACL de rede diferente.
As regras de ACL de rede são aplicadas da seguinte forma para a sub-rede da instância do EC2:
+ As regras de saída usam o endereço IP de destino para avaliar o tráfego das instâncias para o gateway de trânsito.
+ As regras de entrada usam o endereço IP de origem para avaliar o tráfego do gateway de trânsito para as instâncias.
As regras de NACL são aplicadas da seguinte maneira para a sub-rede do gateway de trânsito:
+ As regras de saída usam o endereço IP de destino para avaliar o tráfego do gateway de trânsito para as instâncias.
+ As regras de saída não são usadas para avaliar o tráfego das instâncias para o gateway de trânsito.
+ As regras de entrada usam o endereço IP de origem para avaliar o tráfego das instâncias para o gateway de trânsito.
+ As regras de entrada não são usadas para avaliar o tráfego do gateway de trânsito para as instâncias.
## Melhores práticas
Use uma sub-rede separada para cada anexo da VPC do gateway. Para cada sub-rede, use um CIDR pequeno, por exemplo /28, para que você tenha mais endereços para recursos do EC2. Ao usar uma sub-rede separada, é possível configurar o seguinte:
+ Mantenha aberta a NACL de entrada e saída associada às sub-redes do gateway de trânsito.
+ Dependendo do seu fluxo de tráfego, você pode se inscrever em suas NACLs sub-redes de carga de trabalho.
Para obter mais informações sobre como os anexos da VPC funcionam, consulte [Anexos de recursos](how-transit-gateways-work.md#tgw-attachments-overview).